Безопасность на расстоянии – путь к цифровизации. Удаленная работа с точки зрения ИБ
При переводе сотрудников на удаленную работу больше всего неудобных вопросов адресуется безопасникам: будет ли мой бизнес по-прежнему защищен от киберугроз? Как мотивировать людей продуктивно работать и бережно относиться к корпоративным данным? Много ли мы потеряем из-за всей этой суматохи? Однако оптимисты утверждают, что любой кризис – это не столько растущие преграды, сколько новые возможности для бизнеса, открывающие путь к реальной, а не декларативной, цифровизации. Говорим об этом с начальником отдела информационной безопасности КОМПЛИТ Максимом Большаковым.
Актуальность угроз
Причин для беспокойства из-за перевода сотрудников на удаленку у менеджеров российских компаний действительно немало, и многие из них связаны с менталитетом отечественного бизнеса. Это и стойкое убеждение многих ветеранов СБ, что информационные ресурсы должны быть сосредоточены строго в периметре предприятия. И нежелание менять устоявшиеся, отработанные схемы взаимодействия. И тот факт, что некоторые компании, особенно региональные, стали всерьез интересоваться внедрением у себя политик и средств информационной безопасности только с появлением 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Последнее подтверждает и резкий рост числа тендеров и аукционов в области ИБ, начавшийся после принятия закона.
Есть, впрочем, и объективные причины – например, невозможность применить к сотруднику, находящемуся на удаленной работе, весь арсенал технических средств и политик безопасности. Как показывает практика интеграторов, большинство компаний, обладающих компетентным ИБ-подразделением, успешно справились с этими задачами. Сложности возникают в основном у предприятий сегмента SMB, в которых либо нет собственного ИБ-подразделения, либо ИБ-специалист совмещает сразу несколько функций.
Варианты решения
»Хорошая новость заключается в том, что в текущей ситуации практически все вендоры, стремясь поддержать бизнес, предоставляют программное обеспечение для организации удаленной работы бесплатно или на очень выгодных условиях, на срок от 3 месяцев до конца года. Компании могут без затрат приобрести эти продукты, установить и оценить их работоспособность и применимость. Например, вендоры, с которыми работает КОМПЛИТ, пошли навстречу бизнесу, предоставив такие продукты, как SecretNet Studio, АПКШ «Континент», VGate, Person Monitor».
Подробнее о самых популярных решениях для перехода на удаленную работу читайте здесь.
От типа удаленного подключения (работа с личного ПК или корпоративного устройства, подключение через VPN, удаленное терминальное подключение и т. д.) зависит специфика рисков, с которыми компания может столкнуться. Одним из наиболее безопасных считается терминальное подключение: развернутая виртуальная машина или ПК, который выступает в роли виртуальной станции. Также рекомендуется установить определенные ограничения терминальной сессии: например, запрет переноса (copy – paste) данных с терминала на внешний ПК.
Как показывает практика, при условии грамотно предоставленного удаленного доступа к рабочему месту для сотрудников ИБ рисков утечки информации не становится больше. Тем не менее бизнес должен быть готов к любому развитию событий. Компании необходимо понимать ценность информации, которой оперирует сотрудник, и соответственно применять средства защиты. «Золотое правило» ИБ: стоимость средств защиты не должна превышать стоимость информации. Можно применять DLP-системы, решения, отслеживающие поведение сотрудника, журналы аудита. Последние пригодятся и для составления отчетов сотрудника о его деятельности.
Суть работы DLP-систем изначально заключалась в контроле за утечками информации, но дополнительно к этому современные системы способны выполнять поведенческий анализ пользователей. Встроенные в некоторые системы DLP нейросетевые инструменты добавляют в программный код возможность самообучения, за счет чего те могут предсказывать события на основе всего нескольких действий анализируемого объекта. При желании системы могут даже контролировать все социальные сети, в которые пользователь заходит с ПК, и записывать все пароли и логины. Для ряда компаний это действительно интересный инструмент для минимизации издержек репутационного или финансового характера.
Перевод сотрудников на удаленную работу: алгоритм для ИБ
-
1. Проанализировать, какие сотрудники могут быть переведены на удаленную работу в соответствии с их бизнес-функциями, применяемым ПО, необходимостью доступа к информационным ресурсам.
-
2. Выбрать оптимальный режим подключения: личное/корпоративное устройство, разворачивание эмуляции рабочего стола, удаленное подключение, VDI и т. д.
-
3. Составить перечень программного и аппаратного обеспечения (средства защиты), которое имеется у компании и которое необходимо докупить.
-
4. Выработать политики безопасности.
-
5. Поставить сотрудников в известность обо всех используемых методах контроля.
Расходы на безопасность
Необходимость дистанционной работы – хороший повод серьезно поговорить об экономии на ряде статей бюджета, которая ранее рассматривалась только в теории или на дальнюю перспективу. В целом это снижение затрат на интернет-трафик и телефонию, на энергопотребление, на аренду помещений и даже на обеспечение сотрудников питанием и разными «печеньками», принятое в офисе.
С точки зрения информационной безопасности и ИТ в целом это, по сути, уход от капитальных затрат к операционным. Единожды вложившись в инфраструктуру и оптимизировав OPEX (Operating Expense) с помощью ИБ-сервисов, предоставляемых коммерческим SOC (Security Operation Center), можно добиться экономии в самый короткий срок. Это применимо и к небольшим компаниям.
Ответственность сотрудника и работодателя
Перевод сотрудников на удаленку и соответствующие изменения политик безопасности должны быть закреплены юридически. В первую очередь это, конечно, приказ работодателя о переводе того или иного сотрудника или отдела на удаленную работу. Поскольку при этом сложно или невозможно рассчитывать оплату по времени пребывания человека на рабочем месте, в некоторых случаях логично ввести контрактную форму по аналогии с проектной работой на фрилансе. Она позволит снять с работодателя часть ответственности за выполнение сотрудником своих обязательств и за его нерабочую деятельность вне офиса в рабочее время. С точки зрения ИБ целесообразно также подписывать NDA, в котором следует разграничить и оценить ответственность сотрудника и работодателя в случае возможной утечки информации, указать варианты возмещения ущерба.
Стоит помнить о том, что главным инструментом кибермошенников по-прежнему остается социальная инженерия, методы которой успешно применяются в условиях низкой культуры обращения с данными. Нелишним будет организовать обучение персонала основам кибербезопасности, если оно еще не было проведено.
Перевод на удаленную работу: памятка для сотрудника
-
1. Помнить о культуре обращения с данными, соблюдать минимальные меры предосторожности: установить сложный пароль и не хранить его на виду, уметь распознавать фишинговые письма и сайты и т. д.
-
2. Своевременно обновлять все рабочие программы, ОС, антивирусные средства, средства аутентификации.
-
3. Перестроить себя на «удаленный формат», сохранить оптимальный уровень коммуникации, оставаться доступным по почте или телефону, оперативно реагировать на запросы.
-
4. Если существует повышенный риск безопасности (например, домашний ПК используется несколькими людьми), лучше создать рабочий аккаунт или виртуальную машину.
Прогнозы
После того, как компании вернутся к нормальному режиму работы, люди возвратятся в офисы – но, очевидно, не все. Преодолев период стагнации и «акклиматизации», сотрудники осознают, что могут полноценно выполнять свои функции с большим, чем в офисе, комфортом. А работодатель со временем увидит экономическую выгоду.